PR
写真1 e-KOMATSU推進室ネットワークテクノロジーグループの田畑健一担当部長
写真1 e-KOMATSU推進室ネットワークテクノロジーグループの田畑健一担当部長
[画像のクリックで拡大表示]
図1 システムのIP化と個人情報保護法の完全施行がDHCPサーバーの置き換えを後押し 従来のDHCPサーバーでは,システムの信頼性と安全性を確保できないと判断。7~8年来の懸案だったDHCPサーバーの置き換えに踏み切った。
図1 システムのIP化と個人情報保護法の完全施行がDHCPサーバーの置き換えを後押し 従来のDHCPサーバーでは,システムの信頼性と安全性を確保できないと判断。7~8年来の懸案だったDHCPサーバーの置き換えに踏み切った。
[画像のクリックで拡大表示]
写真2 米インフォブロックスのDHCPサーバー専用機(赤線で囲んだ部分の2台)
写真2 米インフォブロックスのDHCPサーバー専用機(赤線で囲んだ部分の2台)
[画像のクリックで拡大表示]
図2 新DHCPサーバーでMACアドレス認証を一元管理 米インフォブロックスのDHCPサーバーの特徴は,データ・センターのDHCPサーバーで認証MACアドレスを登録,削除すれば,同じ結果をすべての拠点のDHCPサーバーに反映できること。
図2 新DHCPサーバーでMACアドレス認証を一元管理 米インフォブロックスのDHCPサーバーの特徴は,データ・センターのDHCPサーバーで認証MACアドレスを登録,削除すれば,同じ結果をすべての拠点のDHCPサーバーに反映できること。
[画像のクリックで拡大表示]
図3 ネットワーク再構築前後の総帯域とコスト WAN回線は,8倍の高速化を図りながら年113万1000円のコスト削減を実現した。さらに,以前は各拠点に設置したATM交換機の保守費用が高く付いたが,安価なルーターに置き換えたことで月74万6884円の削減効果を得られた。
図3 ネットワーク再構築前後の総帯域とコスト WAN回線は,8倍の高速化を図りながら年113万1000円のコスト削減を実現した。さらに,以前は各拠点に設置したATM交換機の保守費用が高く付いたが,安価なルーターに置き換えたことで月74万6884円の削減効果を得られた。
[画像のクリックで拡大表示]
写真3 各拠点から集約中の「Lotus Notes/Domino」サーバーを収納したラック
写真3 各拠点から集約中の「Lotus Notes/Domino」サーバーを収納したラック
[画像のクリックで拡大表示]

 コマツは現在,DHCPサーバーを使ったセキュリティ対策の強化を進めている。同社は2005年11月末,従来のDHCPサーバーをアプライアンス型に置き換えた。導入費用は約3600万円。「投資対効果が見えない」と置き換えを先送りしてきたが,個人情報保護法の施行などを機に刷新へと踏み切った。

 建設・鉱山機械の国内最大手メーカーであるコマツは2005年11月末,DHCPサーバーの刷新を完了した。現在は順次,同サーバーを使ったセキュリティ対策を施している段階だ。


 狙いは,DHCPサーバーの信頼性確保と社内ネットワークのセキュリティ強化の二つ。同サーバーがダウンすれば,電子メールなど多くのサービスが利用不能に陥る。また,不正なパソコンにIPアドレスを割り当ててしまう危険も潜んでいる。「ネットワークの入り口に立つ最も重要なインフラ」(e-KOMATSU推進室ネットワークテクノロジーグループの田畑健一担当部長,写真1)だからこそ,コマツは約3600万円ものコストをかけて刷新に踏み切った。

従来はDHCPを拠点ごとに運用

 第1の狙いである「DHCPサーバーの信頼性確保」の背景には,社内システムのフルIP化を実現したことがある。コマツは2005年9月,主要拠点間をつなぐ社内ネットワークを広域イーサネットで再構築した。これに伴い,基幹系システムのIP化を推進。DHCPサーバーが止まると,社員は業務で最も重要な基幹系システムすら利用できなくなる状況になった(図1)。

 ところが従来のDHCPサーバーは,機器障害を想定していなかった。ひとたび障害が発生すると,管理者は代替機となる別のパソコンを探し出し,OSとDHCPサーバーのソフトを一からインストールし直して復旧を試みるしかない。その間,社員の業務は完全に止まってしまう。

 しかも,こうした運用は拠点の担当部門が担ってきた。コマツでは,拠点ごとにDHCPサーバーを導入してきた経緯があるからだ。導入,運用にかかる予算も,拠点の担当部門で計上する。このため,既に償却済みのパソコンをサーバー機として流用したり,無料で手に入るフリーソフトを使うことで,導入コストを抑える拠点がほとんどだった。

 しかし償却済みパソコンやフリーソフトでは,ベンダーのサポートを受けられない。不具合などが発生すれば自力で解決する必要がある。運用体制,ハードウエア,ソフトウエアといずれの面でも,DHCPサーバーの信頼性は確保できていなかった。

個人情報保護法が刷新を後押し

 第2の狙いである「セキュリティ強化」は,個人情報保護法の完全施行が大きく影響している。コマツも同法への対応が急務と考え,まずは現状把握のために2004年6月,情報管理体制を評価するセキュリティ・アセスメントを受けた。結果は,欧米企業のセキュリティ基準を大きく下回る水準。欧米企業の情報管理体制が先進的とはいえ,予想外に厳しい結果だった。

 情報管理体制を強化するには,策定したポリシーを守らせる“強制力”を何らかの方法で実現する必要がある。そこでコマツは,不正アクセスを防止する「MACアドレス認証」の導入を決めた。社内ネットワークに接続可能なパソコンを,あらかじめ登録したパソコンだけに限定できるからだ。

 MACアドレス認証を導入するには,DHCPサーバー側で対応する機能を実装する必要がある。その上で,DHCPサーバーの運用を情報システム部で一元管理できる体制作りも欠かせない。セキュリティ対策を確実なものとするには,全社で6000台にも上るパソコンのMACアドレスを一元的に管理する必要があるからだ。こうしてコマツは,「7~8年来の懸案事項だった」(田畑担当部長)課題の解決に向けて,新しいDHCPサーバーの選定に着手した。

新DHCPの決め手は運用機能

 コマツが導入を決めたのは,米インフォブロックスのアプライアンス型製品「Infobloxシリーズ」だった(写真2)。ほかにも,汎用OSが標準実装するDHCP機能やフリーソフト,ベンダー提供のDHCPサーバー用ソフト,DHCPサーバー機能を持つIPアドレス管理ソフトなど7製品を検討した。

 Infoblox導入の決め手は「MACアドレスの一元管理が最も楽だったこと」(田畑担当部長)。MACアドレスの登録や削除は,データ・センターに設置した「マスター」と呼ぶInfobloxに対してのみ設定すれば済むからだ。

 マスターは,認証を許可するMACアドレスの一覧表に変更があると,差分情報だけを「メンバー」と呼ぶ各拠点に設置したInfobloxに配信する。これにより,全拠点のInfobloxで全く同じ一覧表を保持できるようにしている。管理者はInfobloxの物理的な所在を意識することなく,MACアドレスを一元管理できる(図2)。

 コマツは将来,DNSサーバーの置き換えも視野に入れている。InfobloxはDNSサーバーの機能も兼ね備え,「DHCPとDNSを1台で運用できるメリットも評価した」(田畑担当部長)。

アドレス不足が原因で導入台数が倍増

 新DHCPサーバーであるInfobloxを冗長化する手法は,同じ拠点内に2台のInfobloxを設置する方法,A拠点とデータ・センターに1台ずつInfobloxを設置する方法---から選べる。

 コマツは当初,(2)の採用を考えていた。その方がInfobloxの設置台数を抑えられ,導入費用も安く済むからだ。コマツは今回,データ・センターを含む8拠点に設置していたDHCPサーバーを,置き換えの対象とした。(2)Aの手法なら1台の代替機を含めても計9台で済む。

 ところが,各拠点で1台構成の(2)の手法を採用するには,IPアドレス体系の見直しが避けられなかった。結局,全拠点で2台構成が必要な(1)の手法を採用することになり,導入台数は当初予定の9台から16台にほぼ倍増した。

 原因は,冗長化を実現する仕組みの違いにあった。同じ拠点内に2台を設置する(1)の手法では,2台のうち一方を稼働用,もう一方を待機用に設定する。稼働用は,パソコンに割り当て済みのIPアドレス情報を逐一,待機用のInfobloxにコピーしている。このため(1)の手法では,障害時にIPアドレス情報を引き継いで切り替えられる。

 一方,拠点とセンターで冗長化する(2)の手法では,1台をプライマリ,もう1台をセカンダリに設定する。プライマリで障害が発生するとセカンダリのDHCPサーバーが代わってIPアドレスを割り当てる仕組みだが,割り当て済みのIPアドレス情報は共有されない。このため,確保すべきIPアドレスの個数が,拠点内で冗長化する(1)の手法よりも多くなってしまう。

 例えば拠点内に100台のパソコンがあった場合,(1)の手法なら100個分のIPアドレスを確保すれば済む。一方,Aの手法ではDHCPサーバーごとに100個ずつ,計200個のIPアドレスが必要となる。

 ところがコマツでは,現状のIPアドレス体系を維持したままでは各拠点に2倍のIPアドレス数を確保できない状況だった。新たにIPアドレスを追加するにも,IPアドレス体系そのものを見直す必要があった。「導入の手間や運用の手間を考えると,現実的ではないと判断した」(田畑担当部長)。

WANは再構築でサービス品質を向上

 コマツをDHCPサーバーの刷新に踏み切らせる背景ともなったフルIP化は,主要拠点間をつなぐ基幹ネットワークの再構築と同時に実現した。この基幹ネットワーク再構築の狙いは,冗長化と高速化。以前は2M~13Mビット/秒のATM専用線でつないでいたが,WAN回線の冗長化は図っていなかった。また今後は社内のサーバーを,空調や耐震性,セキュリティなどの設備が整ったデータ・センターに集約する構想もあり,実現にはWAN回線の高速化が不可欠だった。

 新ネットワークは,広域イーサネットで構築した。通信サービスは,NTTコミュニケーションズの「e-VLAN」とKDDIの「KDDI Powered Ethernet」を採用。年間の回線費用を113万1000円削減しながら,回線速度を以前に比べて8倍にした(図3)。保守費用も,月97万9600円から同23万2716円へと大幅減。「ATM交換機をルーターに置き換えられたことが奏功した」(田畑担当部長)。

 再構築後は,これまで拠点ごとに運用していたグループウエア「Lotus Notes/Domino」をデータ・センターに集約し始めた(写真3)。さらに,拠点の業務サーバー計430台も,2年間かけてデータ・センターに集約し,総台数を3割削減する。これに伴い,運用コストも1カ月当たり約720万円を削減する計画だ。